渗透测试, 杂文 •

某众测平台邀请码获取Writeup

许久没参加众测活动了,看到某众测新平台上线想去注册下结果混的太菜没人送邀请码,需要自行通过玩靶场拿flag获取邀请码。坑人的是靶场地址还得自己去找,就挺“NICE”的。找入口地址花了我一个多小时,整个过程除了找入口属实无聊 题目也相对简单都是常规渗透操作 整理记录一下。

0x01 找入口

开局只有一个“游戏规则”,各种脑回路都用过:查看其公众号历史文章,查看运营的朋友圈,公众号后台回复关键字,甚至还把众测平台域名的webpacker给爬了个遍...
请输入图片描述

在快要放弃等第二天群里放入口的时候再玩(那不是显得我很菜?本来就很菜 我不服),最后去爆破了下子域名 一个个点开,终于在“help”子域下 看到了醒目的“获取邀请码”几个大字
请输入图片描述

0x02 SQL注入

进入靶场地址就一个登录框,背景还是一个动(我)漫(没)女(兴)孩(趣),
请输入图片描述把图片下载下来binwalk了一下发现没隐写,马上转到Web,随手一个admin提示“密码错误”,burp爆破密码 抓登录框POST包放SQLmap梭哈,注入没识别出来 admin密码还没爆结束 再试试其他弱口令 test/test123进去了。后台只有俩带“aid”参数的链接
请输入图片描述
手工测试了下没结果那就交给SQLmap,继续深入。

把参数aid改为3,又出现了10多个链接 URL居然多了一个base64编码的参数id “http://127.0.0.1/user/Article.php?id=NA==&aid=3” 一看就有注入 果然order by出了3个字段,但是不能用union 也不报错,肯定是盲注了 SQLmap梭哈 SQLmap跑base64编码的注入点带上“--tamper=base64encode” 跑了几遍SQLmap没识别出来? 打扰了 注入的时候应该把base64给解码 如:“http://127.0.0.1/user/Article.php?id=1*&aid=3” 拿到管理员密码登录后台
请输入图片描述

0x03 后台任意文件读取

以管理员登录后台 旁边多了一个表情包而且根据文字提示 这里应该是任意文件读取了
请输入图片描述
查看源代码找到漏洞URI
请输入图片描述
直接用file协议读取Login.php 没啥东西
file协议

base.php
一个鉴权的文件,后面终于出现了有关邀请码的东西,再读meifahufujiulaimingdu.php文件,该文件需要以admin登录才能发送请求 所以文件就不马了。代码很简单 包含base.php验证用户权限 然后带email参数为自己的邮箱号POST请求邀请码机器就行了
email
post

0x04 结尾

成功拿到邀请码!success
邀请码拿到了也注册账号了 你们能帮我挖洞吗?

💫 评论卡